DV-сертификат (Domain Validation Certificate) — SSL/TLS-сертификат с минимальным уровнем проверки: центр сертификации (CA) удостоверяет лишь то, что заявитель контролирует указанный домен. Никакой проверки личности, юридического статуса или физического адреса организации не проводится.
Как выдаётся
Верификация домена происходит одним из трёх способов:
- Email-верификация — CA отправляет письмо на административный адрес домена.
- DNS-верификация — заявитель добавляет TXT-запись с токеном в DNS домена.
- HTTP-верификация — заявитель размещает файл с токеном по пути
/.well-known/acme-challenge/.
После прохождения верификации CA выдаёт сертификат. Весь процесс занимает от 1 минуты (ACME-протокол) до нескольких часов.
Отличие от OV и EV
DV не подходит для сайтов с платёжными данными — в сертификате не указано, кто стоит за доменом. OV (Organization Validation) проверяет существование организации (2–3 дня). EV (Extended Validation) требует юридической проверки (1–2 недели).
История
DV-сертификаты существуют с момента появления коммерческих CA в 1990-х. Массовый переход на HTTPS произошёл после 2014 года: Google объявил HTTPS фактором ранжирования, а в 2015 году запустился Let's Encrypt — бесплатный автоматический CA. К 2024 году Let's Encrypt выдал более 4 миллиардов сертификатов.
Связь с хостингом
Большинство провайдеров включают DV-сертификат через Let's Encrypt в базовые тарифы. Автоматическое обновление каждые 90 дней настраивается через certbot или встроенную панель (cPanel, Plesk). Для корпоративных сайтов с обработкой платёжных данных требуется минимум OV-сертификат.
DV vs OV vs EV сертификаты
Domain Validation (DV) -- минимальный уровень проверки: центр сертификации проверяет только владение доменом (через DNS-запись, HTTP-файл или email registrant). Выдаётся автоматически за 5--60 минут. OV (Organization Validation) требует проверки юридических данных компании -- 1--3 рабочих дня, показывает название организации в расширенных данных сертификата. EV (Extended Validation) -- полная проверка юридического лица, 1--5 дней, ранее давал зелёную адресную строку (убрана в 2019 году большинством браузеров). Технически DV-сертификат ничем не хуже OV/EV для шифрования -- разница только в уровне identity проверки.
Let's Encrypt и бесплатные DV-сертификаты
Let's Encrypt выдаёт DV-сертификаты бесплатно и автоматически. Срок действия -- 90 дней, автоматически обновляются через Certbot или acme.sh. Сертификаты Let's Encrypt доверяемы всеми основными браузерами с 2016 года. Ограничения: нет Wildcard через HTTP-проверку (только через DNS-01 challenge), нет OV/EV. Платные DV-сертификаты от DigiCert, Sectigo стоят $5--50/год и дают коммерческую поддержку и гарантийный фонд ($10 000--1 000 000). Wildcard SSL (*.example.com) покрывает все поддомены одним сертификатом.
История
Первые SSL-сертификаты выдавал Netscape Communications в 1994 году. В то время все сертификаты были фактически DV. OV и EV появились позже как попытка добавить уровни доверия. CA/Browser Forum стандартизировал требования в 2007 году. Let's Encrypt основан в 2014 году (первые сертификаты выданы в 2015). К 2024 году Let's Encrypt выдал более 3 миллиардов сертификатов, охватив 300+ миллионов доменов. ACME-протокол автоматизирует выдачу и обновление DV-сертификатов.